Kif tissiggura l-komunikazzjoni minn servizz għal servizz (mTLS, zero-trust)?

Question

Accepted Answer

Ġewwa network ta' microservices ma tistax tiddependi fuq in-network biss għax hu "intern". **Zero-trust** jassumi li n-network huwa ostili, għalhekk kull sejħa hija awtentifikata u awtorizzata, u t-traffiku huwa encrypted b'**mTLS**.

## Mutual TLS (mTLS)

Billi differenti minn TLS normali, **iż-żewġ** naħat jippreżentaw ċertifikati. Kull servizz jipprova l-identità tiegħu, u t-traffiku huwa encrypted fit-transit.

```text
Service A ──cert──▶ Service B
Service A ◀─cert── Service B   (both verify each other's identity)
→ caller is authenticated AND data is encrypted
```

Mesh tal-iservizzi jista' jipprovdi mTLS awtomatikament mingħajr ebda bidla fil-kodiċi tal-app.

## Awtorizzazzjoni minn servizz għal servizz

L-identità (min li sejjaħ) flimkien mal-politika (x'jistgħu jagħmlu). It-tokens (JWT) jew l-identitajiet SPIFFE jġorru l-identità ta' dak li sejjaħ.

```yaml
# allow only the orders service to call payments
policy:
  from: { service: orders }
  to:   { service: payments, path: /charge }
  action: ALLOW            # everything else denied by default
```

## Difiża f'livelli

```text
✓ Authenticate every request (no implicit network trust)
✓ Least privilege — a service can call only what it needs
✓ Short-lived, rotated credentials/certs
✓ Validate tokens at the edge AND between services
✓ Encrypt in transit (mTLS) and at rest
```

## Xlokk

It-tiddipendenza fuq in-network intern ("hu wara l-firewall") hija kif servizz kumpromess issir kumpromess sħiħ.

## Għaliex hu importanti

F'network intern ċat, servizz kumpromess wieħed jista' jilħaq kollox; zero-trust jikkunfina r-raġġ tal-qlib tat-tfarrigh.

mTLS flimkien mal-awtorizzazzjoni għal kull sejħa jfisser li n-nemiċi li dhal ġewwa għadu ma jistax jikkonċentra l-iservizzi jew jimxi lateralment, li hija l-promessa ta' sigurtà essenzjali ta' platform ta' microservices modern.